La cuisine de Gandi

ShellShock : statut

Comme vous êtes nombreux à nous poser la question :

Concernant notre plateforme :

L'infrastructure de Gandi a été mise à jour. Nous ne sommes donc pas vulnérables aux différentes CVE publiées (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187) ciblant le shell bash.

Concernant vos serveurs virtuels et vos instances :

Si vous êtes client sur notre plateforme IAAS, assurez-vous de bien mettre à jour votre version de bash.

Si vous utilisez Gandi AI, nous vous recommandons vivement de migrer vers la plateforme PaaS/SimpleHosting. Il n'existe pas de mise à jour pour cette distribution qui n'est plus supportée depuis 2012.

Concernant la plateforme Simple Hosting :

Nos services ont été patchés au fur et à mesure de la sortie des mises à jour de sécurité. Il est cependant nécessaire de redémarrer vos instances pour que la nouvelle version de bash soit utilisée.

Comment tester la vulnérabilité de votre version de bash pour chaque CVE :

- CVE-2014-6271 :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

> Il ne doit pas y avoir écrit "vulnerable".

- CVE-2014-7169 :

cd /tmp; env x='() { (a)=>\' bash -c "echo date"; cat echo

> Vous ne devez pas recevoir le résultat de la commande 'date' qui retourne la date et l'heure.

- CVE-2014-7186 :

bash -c 'true <<EOF <<EOF <<EOF  <<EOF <<EOF \
<<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF \
<<EOF <<EOF' || echo "CVE-2014-7186 vulnerable, redir_stack"

> Il ne doit pas y avoir écrit "CVE-2014-7186 vulnerable, redir_stack".

- CVE-2014-7187 :

(for x in {1..200} ; do echo "for x$x in ; do :"; done;  \
for x in {1..200} ; do echo done ; done) | \
bash || echo "CVE-2014-7187  vulnerable, word_lineno"

> Il ne doit pas y avoir écrit "CVE-2014-7187 vulnerable, word_lineno".

Si vous avez besoin de tester vos scripts CGI exécutés par un service web, de nombreux testeurs en CLI ou sur le Web sont disponibles, vous les trouverez aisément en utilisant votre moteur de recherche préféré.

La communauté ayant commencé une analyse plus approfondie de bash, il est possible que de prochaine failles soient découvertes. De ce fait des mises à jour de sécurité seront probablement à effectuer prochainement. La communauté impliquée dans la sécurité des projets opensource estime que les derniers patchs publiés ne corrigent pas complètement le problème sous-jacent dans bash.

Nous vous invitons à suivre cet article pour être informé sur les mises à jour de la liste des CVEs concernant bash pour le PaaS/SimpleHosting.

PaaS Gandi :

version disponible: 4.2+dfsg-0.1+deb7u3

Statut pour :

CVE-2014-6271 : non vulnérable

CVE-2014-7169 : non vulnérable

CVE-2014-7186 : non vulnérable

CVE-2014-7187 : non vulnérable

CVE-2014-6277 : vulnérable (patch non disponible)

CVE-2014-6278 : vulnérable (patch non disponible)


Déployez vos applications Web en Ruby avec Simple Hosting

Vous étiez nombreux à nous demander de pouvoir déployer avec Ruby sur Simple Hosting, et c'est désormais possible !

Ruby est le langage derrière le framework Web de référence de ces dernières années, Ruby on Rails, et vous pouvez dès aujourd'hui commencer à déployer vos applications couplées à la base de données de votre choix: MongoDB, PostgreSQL ou MySQL.

D'ailleurs, vous pouvez déployer toute application basée sur Rack, comme des applications faites avec Sinatra ou Padrino.

Déploiement simplifié: push et deploy

Chaque instance Simple Hosting est fournie avec un répertoire Git et un accès SSH, qui vous permettent de déployer votre application en quelques commandes. Un panneau d'administration permet aussi la gestion de tous les outils via un navigateur web (base de données, logs, redémarrage de l'appli, nettoyage du cache).

Le développeur peut, seul ou avec ses collaborateurs, suivre les modifications de son projet directement à partir de l'instance, sans avoir besoin de créer des comptes sur des outils externes. En ajoutant des clés SSH, plusieurs machines (et les personnes qui les contrôlent ^^) peuvent "pousser" et déployer du code sur un même projet.

Par exemple, on peut mettre une application Rails en production en 3 étapes:

$ git push gandi master
$ ssh <login@git.dc1.gpaas.net> 'deploy default.git'
$ ssh <login@console.dc1.gpaas.net>; rake db:migrate;

Consultez la documentation de l'instance Ruby dans le Wiki de Gandi pour plus d'informations.

Idéal pour vos applications Web

Simple Hosting mutualise les ressources en amont de votre application, tout en vous allouant un conteneur avec des ressources dédiées. uWSGI (populaire dans le monde des applications web en Python, mais assez méconnu de la communauté Ruby) est utilisé pour faire passer les requêtes depuis Apache vers le serveur Web (compatible avec Rack) de votre application Ruby.

Vous bénéficiez également du chargement rapide de vos pages et autres atouts Web grâce à l'accélération fournie par le service Varnish de Simple Hosting, qui se charge de les mettre en cache.

Simple Hosting est ainsi particulièrement attractif pour déployer des applications, des sites, et des API REST. En plus de l'infrastructure polyglotte, Simple Hosting permet d'envoyer des emails, programmer des tâches récurrentes avec Cron, uploader des fichiers et même générer des PDFs depuis votre application.

Hébergez simplement vos outils de travail

Beaucoup de développeurs et leurs équipes se servent d'outils libres pour faciliter leur quotidien. Les agences web utilisent Refinery CMS ou Locomotive CMS pour faire le site de leurs clients, les équipes de prod aiment Redmine pour créer des tickets, etc..

Pour vous faciliter la vie, nous avons crée une série de tutoriels qui vous permettent à la fois d'installer certains de ces outils et de commencer à explorer l'instance Simple Hosting.

Commencez à déployer dès maintenant en suivant le tutoriel de votre choix

Montons en puissance !

L'offre de Simple Hosting comprend des instances de plusieurs tailles, du 'S' au 'XXL', pour vous permettre de déployer vos petits projets et de les accompagner jusqu'à maturité sans vous soucier de votre infrastructure.

L'instance Ruby est dès aujourd'hui disponible en Beta et nous espérons que vous y trouverez une bonne alternative pour déployer vos applications. En cas de besoin, vous trouverez de l'aide dans les Gandi Groups. Comme toujours, envoyez-nous vos commentaires et servez-vous de la Wishlist pour continuer à influencer le futur de Ruby sur Simple Hosting !


Création de VMs et déploiement de code plus rapides

Nous avons modifié la manière dont sont déclenchées les opérations de création de nouveaux serveurs IaaS et de déploiement de code avec Simple Hosting, et avons gagné de précieuses secondes.

En utilisant les fonctionnalités listen / notify de PostgreSQL, nous avons accéléré le provisionnement des VMs IaaS et conteneurs PaaS, ce qui vous permet de créer des serveurs et déployer vos projets plus rapidement.

Ce graphique donne une idée de l’évolution du temps de démarrage des opérations :

timing prov

Si vous êtes client Simple Hosting, vous bénéficierez de cette accélération en utilisant git et ssh pour déployer votre code (http://wiki.gandi.net/fr/simple/git#deployer_son_code). Les clients IaaS en bénéficieront quant à eux à chaque création de serveur, depuis l’interface Web ou l’API.

D’ailleurs, n'hésitez pas à faire un tour sur Github, vous y trouverez des bibliothèques qui rendent la communication avec notre API plus simple dans votre langage préféré.

"Tempus fugit”, dit-on, il est donc toujours bon d’en récupérer. Faites-en bon usage !


Faille OpenSSL : heartbleed postmortem

Une vulnérabilité concernant OpenSSL a été divulguée le 7 Avril 2014 vers 23:00 CEST .

Cette dernière permet à un attaquant d'obtenir des informations sensibles difficiles à évaluer - incluant potentiellement la clef privée du serveur .

Voici la timeline concernant la sécurisation de nos infrastructures suite à cette publication :

7 Avril

  • 23:30 CEST (21:30 UTC) : Les équipes techniques prennent connaissance de la faille de sécurité sur OpenSSL.

8 Avril

  • 00:19 CEST (22:19 UTC) : Patch debian disponible, rebuild des plateformes en cours
  • 03:34 CEST (01:34 UTC) : Les clients utilisant nos web-accelerators sont maintenant protégés de la faille heartbleed .
  • 04:23 CEST (02:23 UTC) : Fin upgrade de la bibliothèque OpenSSL pour www.gandi.net et webmail.gandi.net
  • 12:59 CEST (10:59 UTC) : Problème de provisionning SSL de notre coté pour www.gandi.net et webmail.gandi.net lors du changement des certificats.
  • 13:11 CEST (11:11 UTC) : Les certificats pour www.gandi.net webmail.gandi.net sont à jour.

Fin de l'incident sécurité 



Comment est configurée une machine virtuelle ?

Le processus de configuration actuel d'une machine virtuelle sur l'hébergement Gandi IaaS a changé mais le nouveau processus est toujours considéré comme instable et les appels API sont susceptibles de changer dans le futur. Si vous utilisez ce processus pour développer de nouveaux outils de déploiement de machine virtuelle, indiquez-le nous ! Gardez aussi à l'esprit que cette version de notre outil de provisioning est encore jeune, les interfaces sont aussi susceptibles de changer.


De nouvelles images sur l'hébergement IaaS axées supervision

Nous vous avons préparé quelques images de distribution spécialisées dans la supervision.

Vous étiez nombreux à nous faire des demandes en ce sens, ou plus directement que Gandi propose un service de supervision à travers notre interface d'administration.

Cela sort de notre périmètre, nous préférons donc que nos clients puissent gérer leur supervision eux mêmes, à savoir qu'il existe aussi des services payants de supervision sur Internet, ce qui peut être une alternative.


La plate-forme PAAS du SimpleHosting

Nous sommes heureux de vous faire profiter de notre nouvelle plate-forme PaaS. Cela fait maintenant plus d'un an que nous travaillons dessus en intégrant au fur et à mesure les dernières évolutions logiciels tout en restant homogène avec notre infrastructure et la gestion de notre hébergement IaaS.

Le but de la plateforme est de vous affranchir complètement de la partie système (en profitant de notre expertise) et de vous laisser libre sur la partie applicatif (dans les limites des paramétrages qui se veulent par défaut très ouvert).



Penser architecture web - Aller plus loin avec plusieurs centres de données

Un peu dans l'esprit de l'article Penser architecture web que nous avions publié il y a 2 ans, nous allons aborder dans cet article les problématiques que nous savons récurrentes pour nos clients hébergement ainsi que dans le monde du web en général : que faire quand mon serveur web est surchargé ou mes sites web sont lents ?


Quand Null0 et BGP peuvent causer problème

Si vous lisez des manuels ou des livres de réseau traitant de BGP et de la stabilité des routes, la plupart du temps vous trouverez mention ou même une suggestion de lier votre sommaire de préfixe (aggregated prefix) à null0 pour assurer la présence permanente de ces préfixes dans la table de routage. De ce fait, augmenter la stabilité de vos annonces BGP.

Cette méthode est intéressante jusqu'à un certain point mais il y a des situations ou cette configuration peut provoquer une interruption de service dans le cas d'une panne. Ce bref article a pour sujet le routage sur Internet par BGP et certaines "pratiques répandues".


Le stockage fait sa migration

Depuis quelques mois, vous avez peut-être pu utiliser des serveurs aux États-Unis. Le changement de l’infrastructure de stockage était un des points forts dans l'infrastructure pour l'hébergement.
Avant ça, il a fallu adapter notre infrastructure afin qu'elle puisse comprendre "n" datacenters. La mise en place de la nouvelle plateforme de stockage n'a pas été si compliquée puisqu'elle était indépendante de celle existante en France. Le datacenter était nouveau, c'était donc assez simple à mettre en place : tous les nouveaux serveurs aux États-Unis ont bénéficié de cette nouvelle technologie.


Opération Libellule - Un tout nouveau réseau Gandi

Comme vous avez probablement dû vous en apercevoir, sur les 18 derniers mois, nous avons effectué plusieurs maintenances sur le réseau Gandi. Certaines ont été visibles avec des interruptions de service, d'autres ont été effectuées sans que cela impacte le service. Beaucoup d'entre vous nous ont demandé plus de détails sur ces travaux en cours, j'ai donc décidé de faire ce petit billet pour vous en dire un peu plus concernant l'évolution du réseau sur les prochains mois.



Quota, parts et coeurs en option

La prochaine version (3.0.8) va apporter un changement majeur dans la gestion du quota Hébergement, ainsi que dans l'utilisation de l'API associée. Notez bien que les modifications décrites ci-dessous n'arriveront que lors de la mise en production effective de la 3.0.8, dans les prochains jours.

Le changement a principalement été motivé par l'envie de vous proposer des cœurs en options pour vos serveurs. Mais il s'est avéré que dans l'état actuel des choses, cette option n'était pas possible.

Petite explication...





API Hosting 1.0 en bêta

Comme vous le savez peut être déjà, nous sommes en train de finaliser la gestion de notre plateforme d'hébergement Cloud via une API publique. Afin de vous faciliter le travail, beaucoup de choses ont été remaniées afin de vous permettre une utilisation plus simple, et une vraie maitrise de vos ressources hébergement chez Gandi.

En guise d'introduction, ce billet sera volontairement peu technique, et ne présentera que succinctement des parties qui seront développées en détails lors de la sortie officielle de l'API.


Mandriva 2010, image en accès alpha [maj]

L'hébergement sur des serveurs Gandi permet à ses clients de choisir parmi une sélection d'image d'OS disponible à la création de la machine. Après la préparation en interne de l'image et après une batterie de test, l'image est mise à disposition d'un groupe de client 'alpha' pour l'hébergement Gandi. Ces clients peuvent ainsi créer des serveurs utilisant ces images en 'release candidate'. De notre coté, cela nous permet d'élargir le champs des tests effectués sur les images et de dénicher les bugs et problèmes en touchant un plus petit groupe de client.

Aujourd'hui - 21 Mai - sort donc l'image d'OS basée sur une Mandriva 2010.0. Cette nouvelle version de la distribution Mandriva démarre avec un kernel 2.6.27 par défaut. Cette image est pour le moment disponible pour le groupe de client hosting en 'alpha'. Cette image de système sera bientôt disponible pour tous. N'hésitez pas à nous contacter si vous souhaitez participer à nos phases de test alpha.

16 aout 2010 : L'image est maintenant disponible pour tous


- page 1 de 2